Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Добрый день

 

Очень нужна помощь в дешифровке файлов

Мои знакомые словили шифровальщика на сервере со всеми базами 1С 

все файлы имеют окончание id-48805447.[manyfiles@aol.com].harma

Им бы хотя бы бэкапы расшифровать (дада, бэкапы лежат на том же серврере)

 

Будут весьма благодарны

FRST.txt

Addition.txt

Shortcut.txt

Изменено пользователем vchikarin
Опубликовано

Расшифровки нет. Будет только зачистка мусора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM\...\Run: [1W72451_payload.exe] => C:\WINDOWS\System32\1W72451_payload.exe [94720 2020-04-02] ()
HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => C:\WINDOWS\System32\Info.hta [13923 2020-04-02] ()
HKLM\...\Run: [C:\Documents and Settings\Администратор\Application Data\Info.hta] => C:\Documents and Settings\Администратор\Application Data\Info.hta [13923 2020-04-02] ()
2020-04-02 15:14 - 2020-04-02 15:14 - 000013923 _____ C:\Documents and Settings\Администратор\Application Data\Info.hta
C:\WINDOWS\System32\Info.hta
C:\WINDOWS\System32\1W72451_payload.exe
2020-04-02 15:14 - 2020-04-02 15:14 - 000000224 _____ C:\FILES ENCRYPTED.txt
2020-04-02 15:14 - 2020-04-02 15:14 - 000000224 _____ C:\Documents and Settings\Администратор\Рабочий стол\FILES ENCRYPTED.txt
2020-04-02 15:14 - 2020-04-02 15:14 - 000000224 _____ C:\Documents and Settings\All Users\Рабочий стол\FILES ENCRYPTED.txt
2020-04-02 14:37 - 2020-04-02 14:37 - 000094720 _____ C:\WINDOWS\system32\1W72451_payload.exe
2020-04-02 14:37 - 2019-09-12 21:42 - 000094720 ____R C:\Documents and Settings\Администратор\Рабочий стол\1W72451_payload.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
Опубликовано (изменено)

Вирус еще активен.

Доступ есть пока только через RDP.

При нажатии на FIX он перезагрузился. И лог зашифровался.

Сейчас попробую KVRT прогнать, но там ооочень медленный интернет долго будет закачиваться

Fixlog.txt

Изменено пользователем vchikarin
Опубликовано

Пробую, автосборщик работает только через консоль, а у меня RDP, сейчас попробую задействовать AMMYY


Собрал логи


Если необходимо, могу приложить сам файл вируса

CollectionLog-2020.04.03-10.30.zip

Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\chikarin\Application Data\1W72451_payload.exe','');
 QuarantineFile('C:\Documents and Settings\chikarin\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','');
 TerminateProcessByName('c:\windows\system32\1w72451_payload.exe');
 QuarantineFile('c:\windows\system32\1w72451_payload.exe','');
 DeleteFile('c:\windows\system32\1w72451_payload.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Info.hta','32');
 DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','32');
 DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\Info.hta','32');
 DeleteFile('C:\Documents and Settings\chikarin\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','32');
 DeleteFile('C:\Documents and Settings\chikarin\Главное меню\Программы\Автозагрузка\Info.hta','32');
 DeleteFile('C:\Documents and Settings\chikarin\Application Data\1W72451_payload.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1W72451_payload.exe','x32');
 DeleteFile('C:\WINDOWS\System32\Info.hta','32');
 DeleteFile('C:\Documents and Settings\chikarin\Application Data\Info.hta','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке ссылке https://virusinfo.info/upload_virus.php?tid=37678.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => mshta.exe "C:\WINDOWS\System32\Info.hta"
HKLM\...\Run: [C:\Documents and Settings\chikarin\Application Data\Info.hta] => mshta.exe "C:\Documents and Settings\chikarin\Application Data\Info.hta"
HKLM\...\Run: [C:\Documents and Settings\Пользователь1.SERVER\Application Data\Info.hta] => C:\Documents and Settings\Пользователь1.SERVER\Application Data\Info.hta [13923 2020-04-03] () [File not signed]
S3 WinHttpAutoProxySvc; winhttp.dll [X]
S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X]
2020-04-03 11:49 - 2020-04-03 11:49 - 000013923 _____ C:\Documents and Settings\Пользователь1.SERVER\Application Data\Info.hta
2020-04-03 09:51 - 2020-04-03 11:49 - 000000224 _____ C:\FILES ENCRYPTED.txt
2020-04-03 09:51 - 2020-04-03 11:49 - 000000224 _____ C:\Documents and Settings\All Users\Рабочий стол\FILES ENCRYPTED.txt
2020-04-03 09:51 - 2020-04-03 10:31 - 000000224 _____ C:\Documents and Settings\chikarin\Рабочий стол\FILES ENCRYPTED.txt
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
Опубликовано

ОК, спасибо.

 

Видать придется им заплатить вымогателям

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • st0rk
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...